Tags:

ภัยพิบัติและเหตุการณ์ที่กระทบกับโลกไอทีไทยในช่วงไม่กี่ปีที่ผ่านมาทำให้ธุรกิจจำนวนมากรวมไปถึงกลุ่มธุรกิจที่เกี่ยวข้องกันได้รับผลกระทบจนเกิดความเสียหายใหญ่หลวง ธุรกิจเหล่านี้จำเป็นที่จะต้องวางระบบสำรอง สำรองไฟล์ หรือซื้อเซิร์ฟเวอร์วางไว้ในศูนย์ข้อมูลที่สองเพื่อความปลอดภัย

กระบวนการเหล่านี้อาจจะทำตามประสบการณ์ที่เคยมีมา เช่น เมื่อเกิดเหตุการณ์น้ำท่วมเราอาจมีเวลาเตรียมตัวสักระยะหนึ่ง การซื้อเครื่องมาวางสำรองไว้โดยไม่เปิดใช้งานและสำรองข้อมูลออกมาสม่ำเสมออาจจะเพียงพอ แต่กับเหตุการณ์ที่เกิดขึ้นอย่างไม่ทันตั้งตัวเช่นศูนย์ข้อมูลเกิดใช้งานไม่ได้กะทันหันหรือระบบสำรองที่วางไว้กลับไม่สามารถทดแทนระบบจริงได้อย่างเต็มประสิทธิภาพ

Tags:

TrueCrypt ซึ่งรู้จักกันในฐานะโปรแกรมโอเพนซอร์สที่ใช้ในการสร้างไดรฟ์เข้ารหัสเสมือนจริง, เข้ารหัสพาร์ติชัน และเข้ารหัสอุปกรณ์จัดเก็บข้อมูลเริ่มเข้ารับการตรวจสอบซอร์สโค้ดแล้ว หลังจากมีการเปิดโครงการ The TrueCrypt Audit Project ขึ้นเพื่อระดมทุนในปี 2013

เป้าหมายของการตรวจสอบครั้งนี้นั้นคือการตรวจสอบสถานะของใบอนุญาต เนื่องจาก TrueCrypt ยังไม่ได้ถูกจัดอยู่ในกลุ่มโปรแกรมโอเพนซอร์สอย่างแท้จริงเพราะไม่ได้ตาม GPL, ตรวจสอบและปรับปรุงขั้นตอนการสร้างไบนารีเพื่อให้แน่ใจว่าไม่มีการพยายามสอดแทรกโค้ดอันตรายใดๆ ลงไป รวมไปถึงการตรวจสอบซอร์สโค้ดเพื่อหาช่องโหว่ การตรวจสอบนี้จะทำโดยนักวิทยาการการเข้ารหัสจาก Open Crypto Audit Project ได้แก่ Kenneth White และ Matthew Green อีกทั้งยังเปิดโครงการ Bug bounty ให้คนภายนอกได้ร่วมตรวจสอบด้วย

Tags:
Heartbleed

ปัญหา Heartbleed สร้างความไม่พอใจให้กับ Theo de Raadt อย่างมากตั้งแต่วันแรกๆ เขาระบุว่าปัญหา Heartbleed จะไม่รุนแรงเท่านี้หากทีมงาน OpenSSL ออปติไมซ์ประสิทธิภาพอย่างรับผิดชอบ ไม่ข้ามกระบวนการรักษาความปลอดภัยของระบบปฎิบัติการไปจัดการเอง ช่วงไม่กี่วันมานี้ OpenBSD ก็เริ่มเข้าล้างบางโค้ด OpenSSL เวอร์ชั่นของตัวเองอย่างหนัก โดยลบโค้ดสำหรับแพลตฟอร์มอื่นออกไป และปรับแก้สไตล์โค้ดจำนวนมาก ตอนนี้โครงการนี้ได้ชื่อว่า LibreSSL

OpenSSL ระบุในคอมเมนต์ว่าที่ไม่ยอมใช้ malloc และ free โดยตรงเพราะบางแพลตฟอร์ม ฟังก์ชั่น malloc มีประสิทธิภาพแย่ ทาง OpenBSD แก้ปัญหาด้วยการลบโค้ดสำหรับแพลตฟอร์มเก่าๆ ออกไป ตอนนี้โครงการ LibreSSL รองรับเฉพาะ OpenBSD แต่ทางโครงการสัญญาว่าจะเริ่มซัพพอร์ตระบบปฏิบัติการอื่นๆ หากโครงการเริ่มเข้าที่และมีเงินทุนมากพอ

LibreSSL จะเริ่มใช้งานจริงครั้งแรกใน OpenBSD 5.6 (รุ่น 5.4 ออกเดือนพฤศจิกายน 2013 ส่วนรุ่น 5.5 จะออกเดือนพฤษภาคมนี้)

ที่มา - LibreSSL, Slashdot

Tags:
Apple

ช่วงสัปดาห์ที่ผ่านมามีปฏิบัติการขโมยรหัสผ่าน Apple ID ผ่านมัลแวร์ที่แฝงตัวมากับแอพเจลเบรกบน Cydia ซึ่งตอนนี้ก็ยังมีผู้ติดร่างแหอยู่เรื่อยๆ ล่าสุดมีนักวิจัยเกี่ยวกับความปลอดภัยออกมาอธิบายการทำงานของมัลแวร์ตัวนี้แล้ว

ย้อนความเกี่ยวกับมัลแวร์ตัวนี้ถูกเรียกว่า "Unflod" ถูกค้นพบโดยผู้ใช้ Reddit ที่รู้สึกว่าเครื่องที่ใช้มีอาการแอพเด้งหลังจากลงแอพเจลเบรกบางตัวใน Cydia จนไปพบกับ Unflod ที่แฝงตัวเข้ามาเป็นหนึ่งในส่วนเสริมของ Mobile Substrate (เฟรมเวิร์คสำหรับรันแอพบน Cydia) ในรูปแบบของไลบราลีชื่อว่า Unflod.dylib หลังจากนั้นไม่นานก็มีคนไปพบกับไลบราลีอีกตัวที่ชื่อว่า framework.dylib ซึ่งทำงานคล้ายกัน ในชื่อที่ต่างกันเท่านั้น

หลังจากมัลแวร์ตัวนี้ถูกเปิดเผยแก่สาธารณะก็มีนักวิจัยไปวิเคราะห์การทำงานมัลแวร์ตัวดังกล่าวจนพบว่ามัลแวร์ตัวนี้จะใช้งาน SSLWrite function ของเครื่องและสแกนหาสตริงของ Apple ID และรหัสผ่านเพื่อส่งไปยังเซิร์ฟเวอร์ของผู้โจมตีอีกที โดยเครื่องที่ถูกโจมตีนอกจากจะเจลเบรกแล้ว ยังเป็นเฉพาะกับเครื่องที่รัน iOS เวอร์ชัน 32 บิตเท่านั้น

Tags:
Gmail

ใครที่อยู่ในวงการด้านความปลอดภัยบนไอทีคงจะรู้จัก Pretty Good Privacy (PGP) ซึ่งเป็นเครื่องมือเข้ารหัสแบบ end-to-end (เฉพาะผู้ส่งและผู้รับข้อมูลที่ถูกเข้ารหัสเท่านั้นที่สามารถเปิดอ่านได้) โดยใช้กุญแจลับ (private key) และกุญแจสาธารณะ (public key) ดังนั้นจึงเป็นเรื่องยากที่ใครจะแกะข้อมูลนี้ได้หากไม่รู้กุญแจลับ ทำให้การเข้ารหัสลักษณะนี้ปกป้องข้อมูลที่รับส่งระหว่างกันได้ดีที่สุด

PGP รองรับบริการรับส่งอีเมลที่เป็นที่นิยมทั่วโลกอย่าง Gmail อยู่แล้ว แต่ PGP ก็ยังใช้งานยากจึงไม่เข้าถึงผู้คนส่วนใหญ่บนโลกอินเทอร์เน็ตได้ อย่างไรก็ตามปัญหานี้อาจจะหมดไปในอนาคตเพราะล่าสุดเว็บไซต์ VentureBeat รายงานว่า กูเกิลกำลังศึกษาการทำให้ใช้งาน PGP บน Gmail ได้ง่ายขึ้น

เรื่องนี้ท่าจะยากสำหรับกูเกิล เพราะธุรกิจทำเงินของบริษัทคือธุรกิจขายโฆษณา และหนึ่งในวิธีที่จะแสดงป้ายโฆษณาให้ตรงเป้าหมายคือการอ่านอีเมลบน Gmail นั่นเอง

ป.ล. กุญแจลับและกุญแจสาธารณะอยู่ภายใต้กระบวนการเข้ารหัสแบบกุญแจไม่สมมาตร (asymmetric key encryption) ใครสนใจก็ศึกษาเพิ่มเติมได้จากบทความบน Blognone ครับ

ที่มา: VentureBeat

Tags:
Trend Micro

สรุปเนื้อหาจากงาน Blognone Quest for Modern Security ตอนที่สอง (ตอนที่หนึ่ง) โดยเป็นการบรรยายของคุณคงศักดิ์ ก่อตระกูล Technical Services Senior Manager จาก Trend Micro

หัวข้อการบรรยายของคุณคงศักดิ์เป็นการแนะนำ "แนวโน้ม" ของปัญหาภัยคุกคามด้านความปลอดภัยที่เปลี่ยนแปลงไปจากอดีตอย่างมากด้วยสภาพตลาดเทคโนโลยีที่เปลี่ยนไป เช่น Internet of Everything (IoE) มีอุปกรณ์ชนิดใหม่ๆ ที่เชื่อมต่อกับอินเทอร์เน็ตเยอะขึ้นมาก

Tags:
Edward Snowden

การติดต่อระหว่าง Snowden กับนักข่าวเพื่อเปิดเผยเอกสารลับของ NSA ในช่วงแรกเป็นไปด้วยความยากลำบาก เพราะนักข่าวไม่ชินกับการติดต่อด้วยการเข้ารหัสอย่างแน่นหนา โดยเครื่องมือที่นักข่าวของ The Guardian ใช้ติดต่อกับ Snowden มีตั้งแต่การเข้ารหัสอีเมลด้วย GnuPG, ดิสก์เข้ารหัสด้วย TrueCrypt, แชตแบบไม่เหลือร่องรอยด้วย OTR แต่ซอฟต์แวร์เกือบทั้งหมดก็รวมชุดไว้เป็นระบบปฏิบัติการที่ชื่อว่า Tails

Tails เป็นระบบปฏิบัติการที่ออกแบบมาเพื่อการสื่อสารที่เข้ารหัสตลอดเวลาและไม่เก็บสถานะไว้ในเครื่อง (stateless) การบันทึกข้อมูลใดๆ ลงดิสก์จะถามผู้ใช้ทุกครั้ง ต่างจากระบบปฏิบัติการทั่วไปที่มักมีร่องรอยการใช้งานเช่นการเขียนไฟล์เพิ่มเติมอยู่เป็นประจำ โดยเฉพาะการใช้ swap ที่จะทำข้อมูลของซอฟต์แวร์บางตัวเขียนลงไปยังดิสก์ทั้งชุด ทำให้ทิ้งร่องรอยการใช้งานซอฟต์แวร์ไว้มากมาย การติดตั้ง Tails โดยปกติจะใช้การติดตั้งลงในไดรฟ์ USB เพื่อให้นำเครื่องไปใช้งานอย่างอื่นได้

การต่ออินเทอร์เน็ตบน Tails จะเชื่อมต่อผ่าน Tor เป็นค่าเริ่มต้น ตัวเบราว์เซอร์เองจะติดตั้ง HTTPS Everywhere ไว้เพื่อให้เชื่อมต่อเข้ารหัสแม้จะออกจาก Tor ไปแล้วก็ตาม ส่วนตัว Tor เองก็ติดตั้ง bridge เอาไว้เพื่อใช้งานในประเทศที่ห้ามใช้ Tor

ปัญหาสำคัญของ Tails คือกลุ่มผู้พัฒนากลับไม่เปิดเผยตัวว่าตัวเองเป็นใครบ้าง พวกเขาใช้บริการเว็บฟรี และไม่ตอบข้อสงสัยหลายอย่าง เช่น การทิ้งสคริปต์ดีบั๊กเอาไว้ในระบบปฏิบัติการรุ่นจริง โดยตัวสคริปต์จะส่งข้อมูลจำนวนมากกลับไปยังเซิร์ฟเวอร์ของ Tails หากมีการรันขึ้นมา

ที่มา - Schneier on Security, Wired

Tags:

เมื่อต้นเดือนเรามีข่าว Virus Shield แอพพลิเคชั่นป้องกันไวรัสปลอมบน Google Play ไม่ทำอะไรเลยแต่ขาย 3.99 ดอลลาร์ ซึ่งสร้างเสียงวิจารณ์ต่อ Google Play อย่างมากว่าปล่อยให้แอพนี้หลุดมาได้อย่างไร (แถมมีคนจ่ายเงินซื้อไปเกิน 10,000 ครั้ง)

ล่าสุดมีรายงานว่ากูเกิลแก้ตัวอย่างเงียบๆ โดยส่งอีเมลถึงลูกค้า Google Play ที่พลาดจนต้องเสียเงิน 3.99 ดอลลาร์ ว่าจะคืนเงินค่าแอพ 3.99 ดอลลาร์ให้ภายใน 14 วัน และปลอบใจเพิ่มเติมโดยมอบเครดิต 5 ดอลลาร์สำหรับซื้อสินค้าอื่นๆ บนร้าน Google Play ด้วย

ฝั่งของผู้สร้างแอพ Virus Shield ยืนยันว่าแอพของเขาเป็นแอพจริง แต่เวอร์ชันที่เป็นข่าวนั้นถูกอัพโหลดขึ้น Google Play ผิดพลาด อย่างไรก็ตาม บัญชี Google Play ของเขาถูกแบนไปแล้วเรียบร้อย

ที่มา - Android Police

Tags:
Russia

เมื่อกลางปี 2013 รัฐบาลเนเธอร์แลนด์ แถลงการณ์จับกุมแฮกเกอร์ที่ขโมยรหัสบัตรเครดิตจากหน่วยงานและภาคเอกชนในสหรัฐอเมริกา โดยการจับกุมในครั้งนี้เป็นการให้ความร่วมมือจากรัฐบาลสหรัฐอเมริกาในการประสานเบาะแสที่เกี่ยวข้อง

ตำรวจเนเธอร์แลนด์จับกุมแฮกเกอร์ทั้ง 5 ราย (เป็นชาวรัสเซีย 4 ราย และยูเครน 1 ราย) และตั้งข้อหาคนละ 2 กระทงคือดักฟังข้อมูลโดยไม่ได้รับอนุญาต และการเข้าถึงข้อมูลอิเล็กทรอนิกส์โดยไม่ได้รับอนุญาต โดยศาลรอตเตอร์ดามสั่งจำขังผู้ต้องหาเพื่อรอการไต่สวนพยานหลักฐานต่อไป

Tags:
USA

ตั้งแต่เดือนกรกฎาคมของปีหน้าเป็นต้นไป สมาร์ทโฟนแทบทุกเครื่องของสหรัฐอเมริกาจะมีระบบล็อคเครื่องจากระยะไกลเมื่อเจ้าของทำเครื่องหาย

แผนการณ์นี้กำลังจะเป็นจริงได้หลังจากการบรรลุข้อตกลงร่วมกันของผู้ผลิตสมาร์ทโฟนหลายรายอันได้แก่ Apple, Google, HTC, Huawei, Motorola, Microsoft, Nokia และ Samsung ร่วมด้วยผู้ให้บริการเครือข่ายโทรศัพท์มือถือทั้ง AT&T, Sprint, T-Mobile USA, US Cellular และ Verizon ตลอดจนผู้ให้บริการรับประกันโทรศัพท์อย่าง Asurion โดยข้อตกลงนี้ใช้ชื่อว่า "Smartphone Anti-Theft Voluntary Commitment" ซึ่งก็คือข้อตกลงร่วมมือสร้างสมาร์ทโฟนต่อต้านการขโมย ซึ่งที่มาที่ไปของเรื่องนี้มาจากเป้าหมายที่ต้องการกำจัดธุรกิจตลาดมืดที่รับซื้อ-ขายเครื่องสมาร์ทโฟนที่ถูกขโมยมานั่นเอง

ใจความสำคัญของข้อตกลงข้างต้น คือการสร้างระบบที่จะช่วยให้ผู้ใช้สามารถสั่งล็อคเครื่อง หรือลบข้อมูลส่วนตัว หรือปิดระบบใดๆ บนเครื่องสมาร์ทโฟนได้ ภายหลังจากที่ผู้ใช้ทำสมาร์ทโฟนเครื่องดังกล่าวหายไป โดยระบบดังกล่าวอาจถูกติดตั้งมาในเครื่องสมาร์ทโฟนตั้งแต่ผลิตออกจากโรงงาน หรือเสนอเป็นแอพให้ผู้ใช้ดาวน์โหลดไปใช้งานได้โดยไม่มีค่าใช้จ่าย

นอกเหนือจากนี้ในสหรัฐอเมริกายังมีโครงการสร้างบัญชีดำเครื่องสมาร์ทโฟนที่โดนขโมยด้วยอีกโครงการหนึ่ง นับเป็นแนวทางที่น่าสนใจจากผู้ผลิตและผู้ให้บริการเครือข่ายในการช่วยป้องกันเหตุโจรกรรมที่อาจเกิดขึ้นกับสมาร์ทโฟนของผู้ใช้อีกทางหนึ่ง

ที่มา - SlashGear

Tags:
Heartbleed

ท่ามกลางกระแสการตื่นตัวของช่องโหว่ความปลอดภัย Heartbleed ที่เพิ่งเปิดตัวมาได้ไม่นาน และได้มีบทความอธิบายการทำงานของ Heartbleed มากมาย (ชื่อจำเพาะของช่องโหว่ Heartbleed คือ CVE2014_0160) ก็ได้มีวัยรุ่นชาวแคนาดาที่เพิ่งอายุได้ 19 ปี ได้ศึกษาช่องโหว่ Heartbleed อย่างทะลุปรุโปร่งแล้วนำไปเจาะระบบภาษีของกรมสรรพากรแคนาดาซึ่งยังไม่ได้อัพเดตความปลอดภัยของการเข้ารหัส

Tags:
Heartbleed

ปัญหา Heartbleed ใน OpenSSL นอกจากเว็บเข้ารหัสต่างๆ แล้ว บริการทั้งหมดที่ใช้งาน OpenSSL รุ่นที่ได้รับผลกระทบก็ล้วนถูกกระทบตามไปจำนวนมาก ตอนนี้บริการสำคัญคือ Tor ก็เริ่มมีรายงานผลกระทบออกมาแล้ว ทางผู้ดูแลเซิร์ฟเวอร์รายชื่อโหนด Tor ที่ชื่อว่า moria1 ออกมาประกาศว่ากำลังแบนโหนดจำนวน 380 โหนดออกจากรายการเพราะพบปัญหา Heartbleed โดยชุดแรกเป็นโหนดที่ประกาศตัวเองว่าเป็น Guard หรือ Exit เท่านั้น คาดว่าจะมีโหนดอื่นๆ ที่ทำงานในระบบต้องถูกแบนอีกกว่าพันโหนด

ยังไม่มีรายงานยืนยันว่าเซิร์ฟเวอร์รวมรายขื่อโหนดอื่นๆ จะทำตาม moria1 หรือไม่ แต่หากทำตาม เฉพาะชุดแรกนี้จะทำให้แบนด์วิดท์ในการส่งต่อข้อมูลและการออกอินเทอร์เน็ตของเครือข่าย Tor ทั้งระบบลดลง 12%

รายงานล่าสุดตอนนี้มีโหนดที่ได้รับผลกระทบและน่าจะต้องแบนออกจากการประกาศเป็นจำนวนรวม 1777 โหนด โดยรวมถึงเซิร์ฟเวอร์ที่อัพเดตแล้วแต่ไม่ได้สร้างกุญแจใหม่ เพราะเครื่องใดๆ ที่ได้รับผลกระทบจาก Heartbleed ควรถือว่ากุญแจลับได้หลุดออกไปยังแฮกเกอร์แล้ว

ที่มา - The Register

Tags:
USA

โอเปอเรเตอร์ 5 รายใหญ่ของสหรัฐอเมริกา และบริษัทมือถือชื่อดังหลายรายไม่ว่าจะเป็นแอปเปิล กูเกิล ไมโครซอฟท์ โนเกีย ซัมซุง เอชทีซี โมโตโรลา ฯลฯ ประกาศความร่วมมือว่าอุปกรณ์ที่วางขายหลังเดือนกรกฎาคม 2015 เป็นต้นไป จะสามารถสั่ง remote wipe จากระยะไกลเพื่อป้องกันข้อมูลส่วนตัวของผู้ใช้ในกรณีมือถือหายหรือถูกขโมย

ฟีเจอร์ remote wipe หรือบางครั้งเรียกว่า kill switch เป็นที่ถกเถียงกันอย่างมากว่าควรมีหรือไม่ (ฝ่ายที่คัดค้านมองว่าโอเปอเรเตอร์จะสั่ง wipe ได้แม้ผู้ใช้ไม่อนุญาต) อย่างไรก็ตาม ฟีเจอร์นี้ได้รับการสนับสนุนจากนักการเมืองในสหรัฐที่มองว่าปัญหามือถือหายเป็นเรื่องใหญ่มากขึ้นเรื่อยๆ และสมาคมโอเปอเรเตอร์สหรัฐหรือ CTIA

ตอนนี้ยังไม่มีข้อมูลชัดเจนว่าในทางเทคนิคจะทำอย่างไร และจะมีมาตรฐานกลางเรื่อง remote wipe หรือไม่

ที่มา - Re/code

Tags:
NSA

เจ้าหน้าที่รัฐระดับสูงรายหนึ่งเปิดเผยกับหนังสือพิมพ์นิวยอร์กไทม์ว่า ในการรีวิวคำแนะนำตามแผนปฏิรูป NSA และงานด้านข่าวกรองของสหรัฐเมื่อเดือนมกราคมที่ผ่านมา ประธานาธิบดี บารัค โอบามา ตัดสินใจว่า NSA ควรเปิดเผยช่องโหว่ด้านความปลอดภัยบนอินเทอร์เน็ตให้สาธารณชนรับทราบเมื่อหน่วยงานค้นพบ เว้นเสียแต่ว่าช่องโหว่เหล่านั้นเกี่ยวเนื่องกับความปลอดภัยระดับชาติหรือความจำเป็นในการบังคับใช้กฎหมาย

เนื่องจากข้อยกเว้นนี้ไม่มีขอบเขตที่ชัดเจน นิวยอร์กไทม์กล่าวว่าจึงมีความเป็นไปได้ที่ข้อยกเว้นนี้จะทำให้ NSA สามารถใช้ประโยชน์จากช่องโหว่เหล่านั้นในการเจาะการเข้ารหัสบนอินเทอร์เน็ตและสร้างอาวุธไซเบอร์ (cyberweapon)

ทำเนียบขาวไม่เคยเปิดเผยรายละเอียดของแผนปฏิรูปฯ ให้สาธารณชนรับทราบเลย นับตั้งแต่ที่โอบามาประกาศเมื่อเดือนมกราคมที่ผ่านมา

ไม่รู้ว่าหนึ่งในช่องโหว่ที่ NSA ไม่เปิดเผยต่อสาธารณะนั้นรวมถึง Heartbleed หรือเปล่า

ที่มา: หนังสือพิมพ์นิวยอร์กไทม์ ผ่าน The Verge

Tags:
CloudFlare

CloudFlare ผู้ให้บริการ CDN (Content Delivery Network) รายใหญ่ ก่อนหน้านี้ได้ประเมินว่าบั๊ก Heartbleed มีโอกาสให้แฮกเกอร์จะสามารถขโมย private key ซึ่งจะทำให้แฮกเกอร์สามารถแกะข้อมูลที่วิ่งผ่าน SSL ได้ทั้งหมด ซึ่งรวมถึงข้อมูลรหัสผ่าน ข้อมูลบัตรเครดิต ฯลฯ

ทาง CloudFlare ได้ตั้งเซิร์ฟเวอร์ nginx-1.5.13 ที่ใช้ OpenSSL 1.0.1.f เพื่อให้คนลองมาล้วง private key ออกไป แต่ไม่เกินสิบชั่วโมง ก็มีคนแกะ private key ออกไปได้ถึง 2 คน และ CloudFlare ก็ออกมารับรองผลแล้วว่าสามารถเจาะเอา private key ไปได้จริง

Tags:
Heartbleed

บั๊ก Heartbleed ที่ถูกค้นพบเมื่อไม่กี่วันก่อน ส่งผลสะเทือนไปทั่วโลกไอที เหตุเพราะตัวซอฟต์แวร์ OpenSSL นั้นถูกใช้อย่างกว้างขวางในฐานะซอฟต์แวร์พื้นฐานสำหรับการเข้ารหัส SSL/TLS เพื่อส่งข้อมูลแบบ HTTPS, VPN และทราฟฟิกเข้ารหัสแบบอื่นๆ

การค้นพบช่องโหว่ Heartbleed ถือเป็นการ "เจาะที่หัวใจ" ทำลายความน่าเชื่อถือของการส่งข้อมูลผ่าน SSL/TLS ลงอย่างมาก (ตามสัดส่วนการใช้ OpenSSL) เพราะการเข้ารหัสที่เรา "เชื่อว่าปลอดภัย" นั้นกลับไม่ปลอดภัยอย่างที่เคยคิดกันไว้

บทความนี้จะอธิบายลักษณะของ Heartbleed โดยพื้นฐาน เพื่อให้ผู้อ่าน Blognone เข้าใจมากขึ้นว่ามันเกิดอะไรขึ้นกันแน่นะครับ

Tags:
Android

กูเกิลมีมาตรการด้านความปลอดภัยหลายอย่างให้กับแพลตฟอร์ม Android (ข่าวเก่า: กูเกิลบอกมีมัลแวร์ Android เพียง 0.001% เท่านั้นที่หลุดระบบป้องกันและอาจเกิดอันตราย, รายละเอียดสถาปัตยกรรมความปลอดภัยของแพลตฟอร์ม Android)

ฟีเจอร์ที่น่าสนใจอันหนึ่งคือ Verify Apps ที่ถูกเพิ่มเข้ามาตั้งแต่เวอร์ชัน 4.2 โดยเมื่อเปิดใช้แล้วกูเกิลจะสแกนแอพที่ติดตั้งเข้ามาในเครื่อง (ไม่ว่าจะลงผ่าน Play Store หรือไม่) ว่ามีมัลแวร์หรือไม่ ปัจจุบันฟีเจอร์นี้ถูกใช้ตรวจสอบแอพไปแล้วกว่า 4 พันล้านครั้ง

ล่าสุดกูเกิลออกมาประกาศเพิ่มเติมว่าจะขยาย Verify Apps จากเดิมที่ตรวจแอพเพียงครั้งเดียว จะเปลี่ยนเป็นการตรวจสอบแอพเป็นระยะๆ เพื่อให้ผู้ใช้ปลอดภัยมากกว่าเดิม (constant on-device monitoring) โดยผู้ใช้งานต้องใช้ Android 2.3 ขึ้นไป (ส่วนตัวฟีเจอร์จะอัพเดตตาม Google Play Services ที่ไม่ขึ้นกับเวอร์ชันของ Android)

ที่มา - Android Blog

Tags:
Heartbleed

จากข่าว พบบั๊กร้ายแรงใน OpenSSL รุ่นตั้งแต่ปี 2012 ทุกคนควรอัพเกรดเร่งด่วน และ ผลกระทบจากบั๊ก Heartbleed: ควรเปลี่ยนรหัสผ่าน Google, Facebook, Tumblr, Yahoo!, Dropbox

ผมจึงได้รวบรวมข้อมูลเลขเวอร์ชันของ OpenSSL ที่มีปัญหา Heartbleed นี้ และเวอร์ชันที่ได้รับการ Bug Fix บนระบบปฏิบัติการ Linux Distribution ต่างๆ มาให้ เพื่อที่คนที่ทำหน้าที่ดูแลระบบเซิร์ฟเวอร์หรือระบบรักษาความปลอดภัยจะได้ตรวจสอบได้ว่าเครื่องเซิร์ฟเวอร์ที่ใช้อยู่มีความเสี่ยงหรือไม่

Tags:
Android

ไม่แปลกสำหรับระบบปฏิบัติการที่มีผู้ใช้มากที่สุดในโลก ย่อมเป็นเป้าหมายหลักของผู้ไม่หวังดี โดยปีที่แล้ว ระบบปฏิบัติการแอนดรอยด์มีสัดส่วนของมัลแวร์มากที่สุดถึง 97% ในขณะที่อีก 3% ไม่ได้มาจาก iOS, Blackberry OS หรือ Window Phone แต่กลับเป็น Symbian OS

อย่างไรก็ดี ตัวเลขดังกล่าวเป็นเพียงจำนวนของมัลแวร์ที่รันบนระบบปฏิบัติการแอนดรอยด์ ไม่ได้หมายความว่า มัลแวร์เหล่านั้นมีที่มาจาก Play Store เพราะ Play Store มีสัดส่วนของมัลแวร์บนแอนดรอยด์เพียง 0.1% เท่านั้น อีก 99.9% ที่เหลือมาจาก store เถื่อนต่างๆ

Tags:
Heartbleed

บั๊ก Heartbleed ส่งผลกระทบเป็นวงกว้าง โดยฝั่งของผู้จำหน่ายอุปกรณ์เครือข่ายรายใหญ่ทั้ง Cisco และ Juniper ออกมาประกาศข้อมูลอย่างเป็นทางการแล้ว

ฝั่ง Cisco มีผลิตภัณฑ์ที่ยืนยันว่าได้รับผลกระทบจำนวนหนึ่ง ทั้ง IP Phone, เซิร์ฟเวอร์, ซอฟต์แวร์ตระกูล Small Cell, WebEx, AnyConnect, TelePresence และยังมีผลิตภัณฑ์อีกมากที่กำลังสอบสวนว่าได้รับผลกระทบด้วยหรือไม่ - Cisco

ส่วน Juniper ก็เผยข้อมูลว่าผลิตภัณฑ์หลายตัวได้รับผลจาก Hearbleed เช่นกัน ได้แก่ Junos OS, SSL VPN, Odyssey, Junos Pulse รายละเอียดของเวอร์ชันซอฟต์แวร์ที่ได้รับผลกระทบอ่านได้ตามลิงก์ - Juniper

ที่มา - Network World